Gemeinde der Christen ECCLESIA

PGP

Verschlüsselung und Authentifizierung von Emails und Dateien

Grundsätzliches

Die heute meistens üblichen Verfahren bei der Übermittlung von Emails haben zwei wichtige Nachteile:

1. Die Texte werden in Klartext übermittelt und jeder, der direkten Zugang zu einem an der Übertragung beteilgten Rechner hat, kann diese Emails theoretisch mitlesen und alle darin enthaltenen Informationen abzweigen. Eine "normale" Email ist quasi wie eine Postkarte.
2. Ohne größere Schwierigkeiten lassen sich Absender fälschen und so der Eindruck erwecken, jemand habe eine Nachricht geschrieben, der in Wirklichkeit gar nichts damit zu tun hat.

Zum Schutz davor gibt es heutzutage einen quasi-Standard: PGP (Pretty Good Privacy). Dieses Programm ermöglicht zweierlei:

1. Es stellt sicher, dass nur derjenige eine Email lesen kann, der auch dazu berechtigt ist. (Es verpackt die Postkarte quasi in einen, nur vom Empfänger zu öffnenden Umschlag)
2. Es bietet die Möglichkeit, den Absender einer Email mit höchster Sicherheit zu verifizieren.

Hintergründe

Wen die Hintergründe des Verfahrens gar nicht interessieren, der kann gleich zur Installation, bzw. Anwendung springen, wer sich noch mehr dafür interessiert, findet im Internet haufenweise weitere Informationen.

Kern des Verfahrens sind sogenannte Schlüssel. Diese Schlüssel werden immer paarweise erzeugt und verwendet, d.h. jeder Nutzer von PGP hat zwei Schlüssel - einen privaten, den er wie seinen Augapfel hütet und einen öffentlichen, den jeder auf der ganzen Welt kennen darf (und soll).

Ohne auf die mathematischen Hintergründe einzugehen soll hier nur so viel gesagt werden, dass der eine Schlüssel das Schloss gleichsam nur rechts herum drehen kann, der andere nur links herum. An einem Beispiel wird das klar:

Karl möchte Fritz eine Email schicken, die nur Fritz lesen kann. Dazu besorgt sich Karl den öffentlichen Schlüssel (public key) von Fritz. Mit diesem Schlüssel "verschließt" er die Email. Er kann sie jetzt auch selbst nicht mehr öffnen! Das ist nur mit dem privaten Schlüssel (private key) von Fritz möglich.

Genau andersherum funktioniert es mit der Authentifizierung des Absenders. Um zu beweisen, dass die Email von ihm kommt, signiert Karl seine Email mit seinem privaten Schlüssel. Fritz kann nun mit dem öffentlichen Schlüssel von Karl nachsehen, ob diese digitale Unterschrift wirklich von Karl ist, oder nicht.

Installation

Was muss ich nun tun, um meinen Email-Verkehr mit PGP sicherer zu machen?

Zunächst muss man sich das PGP-Programm besorgen. Aktuelle Versionen für verschiedene Betriebssysteme finden sich unter http://www.pgpi.org/products/pgp/versions/freeware/. Die deutsche Version für Windows 9x gibt es unter ftp://ftp.de.pgpi.org/pub/pgp/6.5/6.5.8/PGPFW658Win32.zip (7717 kB, mit einem 56k-Modem in ca. 25 Minuten heruntergeladen).

Für PGPfreeware651int.exe sei hier kurz die Installation beschrieben:

• Programm starten (ab jetzt passiert alles (fast) von alleine
• In der Dialogbox, die erscheint drückt man "Next" (Weiter)
• es erscheint das Software License Agreement (Nutzungsvertrag). Man bestätigt mit "Yes" (Ja)
• nun kommt eine "Important Product Information" (vermeintlich wichtige Produktinformation). Wir klicken auf "Next" (Weiter)
• Nun sollen wir die "User Information" (Nutzerdaten) eingeben. Normalerweise stehen die schon da, aber man kann hier noch Änderungen vornehmen. Dann klickt man wieder auf "Next" (Weiter)
• Nun kann man den Installations-Pfad wählen
• Als nächstes kann man angeben, welche Komponenten installiert werden sollen. Im Zweifelsfall einfach alles installieren.
• Nun meint das Programm, es sei "Ready to start copying Files" (Bereit, die Dateien zu kopieren). Nach einer kurzen Kontrolle der Angaben klickt man auf "Next" (Weiter)
• Nach erfolgter Installation wird man gefragt, ob man bestehende Schlüsselbünde einbinden will. Ein neuer Nutzer wird hier "No" (Nein) sagen.
• Nun ist die Installation im Prinzip fertig. Man muss (wenn man zum ersten Mal PGP benutzt) nur noch ein Schlüsselpaar generieren. Das geht entweder
• automatisch beim ersten Aufruf des Programms oder
• indem man im Programm PGPkeys (Start - Programme - P G P - PGPkeys) einen neuen Schlüssel erzeugt (Keys - New Key...)
• nun gibt es entweder "Hilfe" zum Thema Schlüssel, oder man macht einfach "Weiter"
• nun muss man seinen vollen Namen und seine Email-Adresse angeben. Für diese Kombination wird das neue Schlüsselpaar erstellt
• als nächstes kann man zwischen zwei Schlüssel-Typen auswählen. Empfohlen sei hier "RSA", da diese Schlüssel weiter verbreitet sind, bzw. mehr Programme sie verstehen
• jetzt kann man die Sicherheitsstufe wählen. Empfohlen ist "2048 bits"
• schließlich kann man ein "Verfallsdatum" für den Schlüssel angeben. (Ist aber nicht nötig)
• nachdem alle Angaben vollständig sind, wird man um eine Pass-Phrase gebeten. Man kann natürlich ein kurzes Passwort nehmen (sollte aber mindestens 8 Zeichen haben), aber eine längere "Phrase" ist sicherer. Also z.B. ein kurzer Bibelvers oder etwas ähnliches. Gute Tipps zum Auswählen von Passwörtern (und Passphrasen) gibt es übrigens unter http://www.mathematik.uni-ulm.de/admin/passwd.html (Anmerkung: wenn du dieses Passwort vergisst, gibt es niemanden, der es dir wieder sagen kann und keine Möglichkeit mehr, verschlüsselte Emails zu lesen. Also gut merken!)
• nachdem das Programm die Schlüssel erzeugt hat ("Complete") geht es "Weiter"
• man kann nun seinen neuen öffentlichen Schlüssel an den zentralen Server schicken, damit andere diesen Schlüssel auch benutzen können (daran denken: um eine Email verschlüsselt an dich zu schicken, braucht man diesen Schlüssel!)
• nach den Gratulation des Programms kann man den Prozess "Fertig stellen"
• letzter Tipp: Sichern des neuen Schlüsselpaars nicht vergessen!

Anwendung

Zu manchen Email-Programmen gibt es sogenannte "Plugins", das sind kleine Programme, die im Mailprogramm Menü-Punkte oder Schaltflächen einfügen, mit deren Hilfe Emails einfach verschlüsselt, entschlüsselt oder signiert werden können.

Eine Übersicht dazu findet sich übrigens auch hier.

• Exchange/Outlook/Outlook Express: bereits im Paket PGPfreeware651int.exe enthalten
• Netscape: http://bear-software.freeservers.com/ (keine Erfahrung damit)
• Lotus Notes:http://www.pgpi.com/cgi/download-wizard.cgi (keine Erfahrung damit)
• Eudora: http://www.xs4all.nl/~comerwel/pgpeudra/ (keine Erfahrung damit)
• Pegasus: http://www.pmpgp.de/pmpgp/indexde.htm (funktioniert hervorragend)

Aber auch wenn es ein solches Plugin für ein bestimmtes Email-Programm nicht gibt, muss man nicht auf PGP verzichten. Man kann dann ein PGP-Programm verwenden, das den Inhalt eines Windows-Fensters kodiert, dekodiert oder signiert. (PGPfreeware651int.exe macht das über "Hotkeys")

Bei Problemen gibt es hier gute Hinweise: http://www.pgpi.org/doc/faq/pgpi/de/. Ihr dürft euch aber auch gerne an mich wenden.

Wolfgang Hutter <><